Applications mobiles – Le 6 mai 2013, la Cnil a effectué un audit de 250 sites internet et applications mobiles régulièrement fréquentés portant sur l’information délivrée aux internautes. Cet audit a été réalisé dans le cadre de l’ « Internet Sweep Day », en français, la « Journée de balayage de l’internet », première opération internationale d’audit coordonnée des autorités membres du Global Privacy Enforcement Network (GPEN).
Au total, près de 19 autorités compétentes en matière de protection des données personnelles ont évalué 2180 sites Internet ou applications les plus visités.
Les résultats de cette enquête ont montré l’insuffisance, voire parfois l’absence, d’une information claire des internautes sur les conditions de traitement de leurs données personnelles.
Ainsi, au niveau mondial, il a été constaté que 50 % des applications mobiles auditées ne délivrent aucune information à leurs visiteurs relative à la politique de protection des données personnelles. En outre, les mentions d’informations délivrées par les autres services sont apparues incomplètes, peu accessibles et peu compréhensibles.
Au point de vue national, il a été constaté que lorsque qu’elle est fournie, cette information n’est ni facilement accessible (pour près de la moitié des sites et applications mobiles concernés), ni suffisamment claire et compréhensible (pour près d’un tiers des sites audités).
Or, les applications mobiles permettent une collecte de quantité d’informations ; ceci étant favorisé par le système d’exploitation, qui permet à certaines applications d’accéder, notamment par l’intermédiaire d’API, aux carnets d’adresses, aux contacts enregistrés par le propriétaire du portable ou encore aux photos ou de fournir des informations comme les identifiants uniques du téléphone.
Certaines applications utilisent également la géolocalisation par GPS ou encore par Wifi.
Compte tenu des caractéristiques de fonctionnement des applications mobiles, les principaux risques en matière de protection des données à caractère personnel proviennent de l’absence de transparence et l’absence de sécurité.
Aussi, il est nécessaire que l’ensemble des acteurs (magasin d’application, développeur d’applications mobiles…) prenne en compte, dès la conception de l’application, les contraintes juridiques relatives à la protection des données et qu’ensemble, ils adoptent une démarche de privacy by design. Cette démarche respectueuse de la protection des données, permettra également, dès la conception, d’identifier les développements et fonctionnalités nécessaires à la conformité, ce qui sera de nature à éviter d’avoir à développer, en fin de processus de création, des fonctions supplémentaires.
Dans le cadre du processus de création d’une application, les principes suivants devront être respectés, selon les recommandations du groupe de l’article 29 (1) :
- obtenir le consentement libre et éclairé de l’utilisateur préalablement à l’installation de données ou la récupération des données de son terminal,
- obtenir son consentement pour la géolocalisation, que celle-ci soit réalisée par GPS, ou wifi,
- proposer une politique de confidentialité lisible et compréhensible, accessible notamment depuis le magasin et au sein de l’application,
- respecter le principe de minimisation des données en collectant uniquement les données nécessaires à la réalisation de la finalité,
- déterminer une durée de conservation des données en tenant compte de la durée nécessaire à la réalisation de la finalité poursuivie et permettre à l’utilisateur de paramétrer les durées selon les données,
- mettre en place une procédure permettant à l’utilisateur de désinstaller l’application,
- informer le consommateur, conformément à l’article 32 de la loi Informatique et libertés, notamment des finalités poursuivies par les traitements de données et les destinataires de ces données,
- recueillir le consentement en cas d’utilisation de cookies, traceurs et autre device fingerprinting,
- mettre en œuvre une procédure permettant à l’utilisateur d’exercer effectivement les droits qu’il détient de la loi Informatique et libertés sans frais et de manière simple,
- tenir compte de l’âge des enfants et adopter selon cet âge une politique restrictive de traitement des données,
- prendre des mesures adaptées pour assurer la sécurité des données et veiller à ce que les prestataires, tels que les hébergeurs, garantissent la sécurité et la confidentialité des données confiées.
Si l’objectif est d’assurer la protection des données des utilisateurs des applications mobiles, à l’instar de la démarche adoptée en particulier pour le Web avec la loi pour la confiance dans l’économie numérique, l’objectif est également d’adopter des comportements et des conditions d’utilisation propices à instaurer et maintenir la confiance des utilisateurs, sans laquelle il sera difficile de pérenniser le succès des applications mobiles.
Aussi, à tous ceux qui souhaitent se lancer, il est recommandé de bien définir les données qu’ils souhaitent collecter afin d’identifier précisément les contraintes juridiques existantes et les développements que cela implique tout en définissant et rendant accessible la politique de protection des données de l’application.
Céline Avignon
Lexing Droit Marketing électronique
(1) Groupe Article 29, Avis 02/2013 du 27-2-2013 ; Cnil, Rubrique Actualité, Article du 9-4-2013.